mod_cspnonce a httpd.conf pro CSP_NONCE
Dobrý den,
Potřebují generovat <span class="str">nonce-%{CSP_NONCE}e'</span>a nevypadáto že bych měl přístup ke configurace Apache.
Je možné něják to zařídit? Jenom naistalovat mod_cspnonce a nakonfigurovat httpd.conf <span class="typ">:</span>
<span class="typ">LoadModule</span><span class="pln"> headers_module modules</span><span class="pun">/</span><span class="pln">mod_headers</span><span class="pun">.</span><span class="pln">so</span>
<span class="typ">LoadModule</span><span class="pln"> cspnonce_module modules</span><span class="pun">/</span><span class="pln">mod_cspnonce</span><span class="pun">.</span><span class="pln">so</span>
abych mohle generovat <span class="str">CSP_NONCE</span>?
Děkují
3 Answers
Dobrý den,
konfigurace na sdíleném webhostingu je neměnná (pokud se nejedná o konfiguraci, kterou můžete změnit v administraci webhostingu).
Pokud potřebujete nějakou funkci, kterou není možné upravit z administrace, pak bude nutné si objednat VPS a nakonfigurovat si jej dle vlastních požadavků.
Dobrý den,
do nastavení Apache serveru můžete zasahovat prostřednictvím souboru .htaccess, podporovány jsou ale jen mod_deflate a mod_rewrite. Více informací najdete na produktové stránce webhostingu (záložky PHP, Apache).
takže není možné abych si zařídil bezpečné spojení mezi serverem a ti co budou používat mé stránky protože není možné používat mod_cspnonce tým pádem není možné vygenerovat CSP_NONCE. a ani není možní změnit UNIQUE_ID_FORMAT abych mohl odejmout z UNIQUE_ID „@“ aby sedalo používat v CSP.
Takže to vypadá že jediné možnosti jsou bud používát CSP v meta tag, anebo generovat nejedineční nonce (což je divné protože „nonce“ zanamená jedineční) pro CSP uvnitř .htaccess a pak poslat to za použití cookies .
Pochopitelně obě možnosti jsou více rizikové než jednoduché vygenerování CSP_NONCE.
Dějtemi prosím vědět jestli víte o jiné způsoby nebo jestli náhodou dovolite generováni CSP_nonce abych mohl aplicovat CONTENT SECURE POLICY která není riziková